什么是AFN3.0和HTTPS证书？

AFN(Alamofire Networking)3.0是iOS开发中广泛使用的网络请求库，而HTTPS证书则是保障网络通信安全的重要工具。简单来说，就像寄快递需要包装盒和封条一样，HTTPS证书就是给网络数据加个"安全包装"，防止信息在传输过程中被偷看或篡改。

举个例子：你使用手机银行APP转账时，如果看到地址栏有个小锁图标，就说明这个连接使用了HTTPS加密。AFN3.0配置HTTPS证书后，你的APP也能实现这种级别的安全通信。

为什么必须配置HTTPS证书？

1. 数据加密：防止敏感信息(如密码、银行卡号)被窃取

2. 身份验证：确保你连接的是真正的服务器而非"钓鱼网站"

3. 合规要求：苹果App Store要求所有网络请求必须使用HTTPS

4. 防止中间人攻击：阻止黑客在客户端和服务器之间插入"监听设备"

想象一下：如果你用普通HTTP发送登录请求，就像在明信片上写密码然后邮寄；而HTTPS则是把密码放进保险箱，只有收件人有钥匙能打开。

AFN3.0配置HTTPS证书的三种方式

方式一：信任所有证书(仅限测试环境)

```swift

let manager = SessionManager(

configuration: URLSessionConfiguration.default,

serverTrustPolicyManager: ServerTrustPolicyManager(policies: [

"yourdomain.com": .disableEvaluation

])

)

```

?? 警告：这种方式相当于"盲信"所有证书，实际项目中绝对不要使用！它会让你的APP面临中间人攻击风险。

方式二：校验证书公钥(推荐基础方案)

let serverTrustPolicies: [String: ServerTrustPolicy] = [

"api.yourdomain.com": .pinPublicKeys(

publicKeys: ServerTrustPolicy.publicKeys(in: Bundle.main),

validateCertificateChain: true,

validateHost: true

)

]

let sessionManager = SessionManager(

serverTrustPolicyManager: ServerTrustPolicyManager(policies: serverTrustPolicies)

这种方式的原理是：

1. 将服务器的公钥(.cer文件)打包到APP中

2. 每次请求时对比服务器返回的公钥和本地存储的是否一致

3. 不一致则拒绝连接

方式三：双向SSL认证(最高安全级别)

let sessionManager: SessionManager = {

let serverTrustPolicies: [String: ServerTrustPolicy] = [

"api.yourdomain.com": .pinCertificates(

certificates: ServerTrustPolicy.certificates(),

validateCertificateChain: true,

validateHost: true

)

]

let configuration = URLSessionConfiguration.default

configuration.urlCredentialStorage = nil

return SessionManager(

configuration: configuration,

serverTrustPolicyManager: ServerTrustPolicyManager(policies: serverTrustPolicies)

}()

这种方案不仅验证服务器证书，还要求客户端提供自己的证书。适用于银行级安全需求的场景。

HTTPS证书配置常见问题解决方案

问题1：证书过期导致连接失败

案例：某电商APP突然大面积用户无法加载商品列表，排查发现服务器SSL证书已过期。

解决方案：

- 监控证书有效期(可以使用Let's Encrypt的90天自动续期)

- APP内做兼容处理：

// AFN3.0处理过期证书的示例代码

let policies: [String: ServerTrustPolicy] = [

"api.yourdomain.com": .customEvaluation({ (serverTrust, host) -> Bool in

// 自定义验证逻辑，比如允许特定过期的旧证书继续使用一段时间

if isCertificateExpiredButWhitelisted(serverTrust) {

return true

}

return defaultEvaluation(serverTrust, host)

})

问题2：自签名证书不被信任

开发测试环境常用自签名证书，但iOS默认不信任这类证书。

1. 将自签名CA根证书导入工程

2. 修改验证策略：

// AFN3.0信任自签名证书的配置方法

"test.yourdomain.com": .pinCertificates(

certificates: ServerTrustPolicy.certificates(inBundle: Bundle.main),

validateCertificateChain: false, // 不验证链式结构

问题3：CDN加速导致的域名切换

很多公司使用CDN服务后实际请求的域名与API域名不同。

- 扩展信任策略：

```swift

let trustedDomains = ["api.yourdomain.com", "cdn1.yourprovider.net", "cdn2.yourprovider.net"]

var policies = [String: ServerTrustPolicy]()

trustedDomains.forEach { domain in

policies[domain] = .pinPublicKeys(

publicKeys: ServerTrustPolicy.publicKeys(inBundle: Bundle.main),

validateHost: true

}

let manager = SessionManager(serverTrustPolicyManager:

ServerTrustPolicyManager(policies:policies))

HTTPS性能优化技巧

1. 会话复用 -减少SSL握手开销：

let configuration = URLSessionConfiguration.default

configuration.httpShouldUsePipelining = true

configuration.requestCachePolicy = .reloadIgnoringLocalCacheData

configuration.urlCredentialStorage = nil

// TLS会话票证复用

configuration.TLSMinimumSupportedProtocolVersion = .tlsProtocol12

configuration.TLSMaximumSupportedProtocolVersion = .tlsProtocol13

2. OCSP装订 -加速证书状态检查：

在服务器端开启OCSP Stapling功能，避免客户端每次都要在线查询CRL。

3.HTTP/2支持 -多路复用提升性能：

确保服务器支持HTTP/2协议，AFN3.0默认已兼容。

HTTPS安全加固建议

1.定期轮换密钥 -即使私钥泄露也能限制影响范围

2.禁用弱加密算法 -在服务器配置中关闭SSLv3、TLS1.0等老旧协议

3.实施 Certificate Transparency -监控非法签发的假冒证书

4.HSTS预加载 -强制浏览器只通过HTTPS连接你的域名

通过以上方法配置AFN3.0的HTTPS功能后，你的iOS应用将具备企业级的安全通信能力。记住网络安全没有"银弹"，需要持续更新和维护才能应对不断演变的威胁环境。

TAG:afn3.0 配置https证书,afnetworking证书验证,afp认证系统登陆,afrdi认证